http://hk.apple.nextmedia.com/realtime/news/20150705/53933399
來自香港的研究 包含一下用語 內容資訊蠻實用的
建制派WhatsApp對話外洩,引來全城熱話。《蘋果》委託資訊保安公司測試市面上6款熱門
手機通訊Apps的保安功能,結果發現用戶以手機發訊時,訊息均會被加密,難以截取;不過
如改以網頁版登入使用,加密功能即會被大幅削弱,無論是用戶資料、文字訊息、傳送的圖
片也可輕易被截取。手機若被暗中植入間碟程式,則可完全無視所有Apps的保安及加密功能
,全天候截取手機所有通訊。
記者:梁御和
資訊保安公司Nexusguard Consulting的安全研究員謝輝輝指,一般透過手機及電腦發出的
短訊均會傳到Apps的伺服器,再轉予接收者。是次測試模擬黑客先設立偽冒的免費Wifi熱點
,引誘用家登入使用,再趁他們以WhatsApp、Telegram、Facebook Messenger、LINE、
WeChat及Skype等6款熱門通訊Apps發訊時,嘗試在中途截取訊息。
結果發現,用家經手機發訊時,6種Apps均會以較強的TLS、甚至獨立的加密算式(protocol
)「加密」後才發出,故即使在傳送過程中被黑客截取,對方也因未能解密,只看到一堆亂
碼,不能將訊息還原。
不過上述Apps除以手機使用外,用戶也可以電腦登入網頁版發訊。惟檢測發現,除LINE以外
,其餘所有Apps的網頁版,加密功能均被削弱。當中WeChat、Skype及Facebook Messenger
發出的文字、照片、甚至檔案均全被輕易截獲、破解後再讀取;Facebook Messenger則更嚴
重,連用家的朋友清單、朋友照片(profile picture),甚至相簿也一併全被讀取。
至於網頁版WhatsApp發出的照片則同樣可被讀取,文字訊息的加密程度則較強,無法被破解
;Telegram更進一步,文字及照片均無法被破解。不過,由於兩個Apps的網頁版均設有
Google拼寫檢查功能(Spelling Check),用家輸入對話內容同時,系統會將整段文字上載
至Google作檢查,黑客也可借此趁文字對話在未被加密前全數截取。
Nexusguard Consulting行政總裁龐博文解釋,手機版的通訊Apps供用家在不同地方流動使
用,故均預設使用保安性能較強TLS或獨立加密技術。惟部份Apps在開發網頁版時,卻未有
將同一加密技術套用,反而改以傳統網頁常用、安全性較低的SSL加密技術,故在截取後被
輕易破解。
另外,如用家手機被安裝間碟程式,則不論Apps的保安功能多強,也會被全天候截取所有通
訊。研究員即場展示一部被安裝間碟程式「ikeymonitor」的iPhone,可紀錄手機鍵盤所有
輸入內容,甚至預設每30秒擷取一次手機的螢幕畫面,再轉發予黑客自由存取。
※註:有電視或媒體有報導者,請勿使用爆卦! 違者視為新聞篇數 超貼新聞劣退